ISO/SAE 21434 – ein Werkstattbericht

In der Tat gibt es viele Parallelen, gerade auf der Meta- und Prozessebene. Mitte der 90er habe ich zusammen mit Bonifaz Maag bei Alcatel das Prozess-Reifegradmodell CMM eingeführt und ausgerollt, für die Software-Entwicklung im ISDN- und Mobilfunk-Umfeld. Im Automobilsektor nennt sich der aktuelle Standard Automotive SPICE, aber die Ähnlichkeit zum (inzwischen weiterentwickelten) CMMi ist bemerkenswert. Obwohl die Software um ein Vielfaches komplexer geworden ist – der Standard für den Entwicklungsprozess ist im Grunde immer noch der Gleiche.

Denkbare Angriffe sind etwa die Immobilisierung des Autos, das Starten ohne Schlüssel oder das künstliche Senken des Kilometerzählers zur Wertsteigerung. Wie so ein Angriff aussehen kann, hat das Magazin WIRED am Beispiel von Jeep gezeigt. Die Security soll diese Angriffe verhindern. Dabei handelt es sich um ein sogenanntes »moving target«, denn erstens wird die Software im Auto ständig weiterentwickelt, zweitens finden Hacker heute Sicherheitslücken, die gestern keiner auf dem Schirm hatte. Die Angriffsflächen nach außen steigen mit den Schnittstellen im Auto beständig an (Bluetooth, MP3-Player, Internet, USB, Smartphone, Videokamera, Sensoren, usw.). Wird eine neue Schwachstelle bekannt, muss in der Regel innerhalb von Stunden oder Tagen ein Patch erscheinen, der auch einen sicheren und schnellen Weg zu den, über die Welt verteilten, Fahrzeugen finden muss.

Kugler Maag Cie ist einer der europäischen Vertreter im Projekt ISO/SAE 21434. Wir geben unsere Expertise aus knapp 15 Jahren Prozessbegleitung in der Automobilbranche in die Entwicklung der Norm. Das kommt natürlich auf der anderen Seite wiederum unseren Kunden zu Gute, die wir jetzt schon auf das Arbeiten unter der neuen Norm vorbereiten.

Der Standard wird keine spezifischen Technologien oder Lösungen vorgeben. Das wäre sinnlos, da die viel zu schnell wieder veraltet sind. Vielmehr geht es darum, Anforderungen an ein Cybersecurity-Risikomanagement zu formulieren, entlang der gesamten Produktlebensdauer: Von den Komponenten über Entwicklung, Design, Produktion, Betrieb und Wartung bis zur Außerbetriebnahme. Denn selbst wenn ein Auto irgendwann verschrottet wird, müssen noch die persönlichen Daten der Nutzer geschützt werden. Die Norm schafft einheitliche Definitionen dafür, was eine Schwachstelle oder Verwundbarkeit ist, und legt fest, in welchem Rahmen die Sicherheit getestet werden muss.

Die Unternehmen müssen die Norm füllen – sie kann gar nicht einfach so umgesetzt werden. Denn die Norm ist ein Rahmen, anhand dessen die Unternehmen ihr Security Management gestalten. Reife Prozesse bilden die Grundlage dafür, dazu kommen etwa Awareness-Schulungen für die Mitarbeiter, passende organisatorische Regelungen und technische Expertise. Die Norm gibt den Herstellern auch vor, dass sie immer auf dem aktuellen Stand der Technik arbeiten müssen. Das erfordert, dass sie Markt und Technik ständig im Blick behalten.

Eine ISO-Norm ist kein Gesetz. Die Unternehmen sind nicht dazu verpflichtet, sich daran zu halten. Sie werden es trotzdem tun, denn im Falle eines Schadens entscheidet das über die Haftung. Ist der Fahrzeughersteller der Norm nicht gefolgt, dann kommt es zur Beweislast-Umkehr: dann muss er beweisen, dass er trotzdem alles Erforderliche getan hat, um den Schaden zu vermeiden.

Die SAE ist eine US-amerikanische Vereinigung, sie hat für die USA bereits eine Security-Norm herausgegeben. Der Rest der Welt will die nicht einfach so übernehmen. Auf der andere Seite will die SAE auch nicht ihren Standard für eine neue globale Norm aufgeben. Nach längerer Diskussion haben sich die Vertreter deswegen auf die Zusammenarbeit an einer gemeinsamen Norm geeinigt.